L'attaque BlackNurse transforme un seul ordinateur portable en une machine tueuse de serveurs

Chaque fois que nous entendons parler d’une attaque par déni de service distribué (DDoS), nous pensons que des milliers, voire des millions, d’ordinateurs zombies ou d’appareils connectés à Internet (comme le montre le dernier cas de Dyn) envoient effectivement d’énormes paquets de données pour faire tomber le site Web ou le service en question. On suppose généralement que les outils DDoS ou les stressers, comme on les appelle, ont besoin de milliers de zombies pour mener une attaque massive capable de faire tomber un site Web protégé par DDoS. Cependant, de nouvelles recherches prouvent qu’une nouvelle attaque utilise un SEUL ordinateur portable pour mener une attaque DDoS massive capable de mettre hors ligne un serveur hautement protégé.

Des chercheurs en sécurité du Centre des opérations de sécurité TDC basé au Danemark ont nommé la nouvelle technique d’attaque BlackNurse. L’attaque BlackNurse utilise des ressources très limitées pour mettre hors ligne de grands serveurs lorsqu’ils sont protégés par certains pare-feu fabriqués par Cisco Systems et d’autres fabricants.

L’attaque BlackNurse facilite la tâche des cybercriminels pour mener une simple attaque par déni de service contre un site Web en utilisant aussi peu que 15 mégabits, ou environ 40 000 paquets par seconde, pour couper la connexion Internet des serveurs vulnérables. Imaginez ce que l’attaque BlackNurse aurait pu faire si elle avait été utilisée lors de la récente attaque de Dyn. Pour mettre les choses en perspective, les hackers inconnus qui ont mis hors ligne l’ensemble d’Internet dans le Midwest et l’Est des États-Unis le 21 octobre ont apparemment utilisé des botnets IoT et envoyé des paquets de données inutiles de 1 To par seconde pour semer le chaos et mettre hors ligne des services comme Reddit, Twitter, Spotify, etc.

Dans un article de blog publié mercredi, les chercheurs ont écrit :

L’attaque BlackNurse a attiré notre attention, car dans notre solution anti-DDoS, nous avons constaté que même si la vitesse du trafic et le nombre de paquets par seconde étaient très faibles, cette attaque pouvait maintenir les opérations de nos clients à l’arrêt. Cela s’appliquait même aux clients disposant de grandes liaisons Internet et de grands pare-feu d’entreprise en place. Nous nous attendions à ce que l’équipement de pare-feu professionnel puisse gérer l’attaque.

Table des matières

• Comment BlackNurse utilise un seul ordinateur portable pour mener une attaque DDoS massive
• Craintes concernant l’attaque BlackNurse
• Atténuation contre l’attaque BlackNurse

Comment BlackNurse utilise un seul ordinateur portable pour mener une attaque DDoS massive

Les chercheurs ont découvert que l’attaque BlackNurse utilise la faille de message du protocole de contrôle de message Internet, que les routeurs et autres dispositifs réseau utilisent pour envoyer et recevoir des messages d’erreur. Comme il n’y a pas de protection ou de limite pour l’envoi ou la réception de tels messages ICMP, l’attaque BlackNurse en tire parti en envoyant un type spécial de paquets ICMP—spécifiquement des paquets ICMP de type 3 avec un code de 3 que les hackers peuvent utiliser pour créer une charge indésirable sur les CPU et les serveurs protégés par des pare-feu de Cisco et d’autres entreprises.

Au cours de leur recherche, ils ont découvert qu’après avoir atteint un seuil de 15 Mbps à 18 Mbps, les pare-feu ciblés laissent tomber tellement de paquets que le serveur se met hors ligne.

En utilisant les mêmes paquets ICMP défectueux, les chercheurs ont mené une attaque BlackNurse en utilisant un SEUL ORDINATEUR PORTABLE en envoyant juste 180 Mbps et ont mis hors ligne un serveur.

Peu importe si vous avez une connexion Internet de 1 Gbit/s. L’impact que nous observons sur différents pare-feu est généralement de fortes charges CPU. Lorsqu’une attaque est en cours, les utilisateurs du site [réseau local] ne pourront plus envoyer/recevoir de trafic vers/depuis Internet. Tous les pare-feu que nous avons vus récupèrent lorsque l’attaque s’arrête.

Craintes concernant l’attaque BlackNurse

Ce qui est inquiétant, c’est que les chercheurs ont découvert que l’attaque BlackNurse était utilisée dans la nature. Ils ont déjà découvert environ 95 attaques DDoS de ce type au cours des deux dernières années. Le rapport ne précise pas si les attaques ICMP étaient basées sur la nouvelle attaque BlackNurse ou sur une attaque ICMP précédemment connue qui délivre des paquets de type 8 avec un code de 0.

Atténuation contre l’attaque BlackNurse

Selon des chercheurs de Netresec, une entreprise de sécurité qui a collaboré avec TDC Security sur la recherche, l’attaque ne fonctionne que contre les serveurs utilisant des pare-feu de Cisco Systems, Palo Alto Networks, SonicWall et Zyxel. Les chercheurs ont donné les modèles spécifiques qui sont vulnérables à l’attaque BlackNurse dans cet article de blog. Palo Alto Networks a émis son

L’un des fabricants de pare-feu touchés, Palo Alto Networks, a publié son propre avis qui indique que les appareils de l’entreprise ne sont vulnérables que dans des « scénarios très spécifiques et non par défaut qui contreviennent aux meilleures pratiques. »

Surprise, Cisco ne considère pas l’attaque BlackNurse comme un problème de sécurité bien qu’il n’ait pas justifié pourquoi. L’Institut Sans a son propre bref article sur l’attaque ici.